LucidRookと呼ばれる新しいLuaベースのマルウェアが、台湾のNGOと大学を標的とするスピアフィッシングキャンペーンで使用されている。
Cisco Talosの研究者は、このマルウェアを内部で「UAT-10362」と追跡されている脅威グループに帰属させており、彼らは「成熟した作戦上の工作」を備えた能力のある対手であると説明している。
LucidRookは、パスワード保護されたアーカイブを含むフィッシングメールを利用した2025年10月の攻撃で観察された。
研究者は2つの感染チェーンを特定した。1つはマルウェアドロッパーのLucidPawnを最終的に配信するLNKショートカットファイルを使用するもの、もう1つはTrend Micro Worry-Free Business Security Servicesになりすました偽のアンチウイルス実行ファイルを活用するEXEベースのチェーンである。
LNKベースの攻撃では、台湾政府から発信したように見せかけた政府文書などのおとり文書を採用し、ユーザーの注意をそらす。
Cisco Talosは、LucidPawnがMicrosoft Edgeになりすました正規実行ファイルと、LucidRookをサイドロードするための悪意あるDLL(DismCore.dll)を復号化して展開することを観察した。
LucidRookはモジュール設計とLua実行環境が組み込まれていることで注目され、Luaバイトコードとして第2段階ペイロードを取得して実行できる。
このアプローチにより、オペレーターはコアマルウェアを変更することなく機能を更新できると同時に、フォレンジック上の可視性も制限される。このステルス性は、コードの広範な難読化によってさらに増加される。
「Luaインタープリタを組み込むことで、ネイティブDLLを安定した実行プラットフォームに効果的に変えながら、脅威アクターがより軽量でより柔軟な開発プロセスによってLuaバイトコードペイロードを更新して各ターゲットキャンペーン向けに動作を調整することができます」と、Cisco Talosは説明している。
「このアプローチはまた作戦上のセキュリティも改善します。Luaステージはわずかな期間だけホストされ、配信後にC2から削除される可能性があり、防御者がローダーのみを復旧した場合に外部から配信されたLuaペイロードなしで事後の再構成を妨害できるからです。」
Talosはまた、バイナリが埋め込み文字列、ファイル拡張子、内部識別子、C2アドレス全体で大きく難読化されており、あらゆるリバースエンジニアリング活動を複雑にしていることに注意している。
実行中、LucidRookはシステム偵察を実行し、ユーザーとコンピューター名、インストールされたアプリケーション、実行中のプロセスなどの情報を収集する。
データはRSAを使用して暗号化され、パスワード保護されたアーカイブに保存され、FTP経由で攻撃者が管理するインフラストラクチャに流出される。
LucidRookを調査する際、Talosの研究者は「LucidKnight」という関連ツールを特定し、これはおそらく偵察に使用されている。
LucidKnightの注目すべき特性の1つは、Gmail GMTPを悪用して収集されたデータを流出させることであり、UAT-10362が様々な作戦上のニーズを満たすための柔軟なツールキットを保有していることを示唆している。
Cisco Talosは、LucidRook攻撃が標的型の侵入キャンペーンの一部であると中程度の信頼度で結論付けている。しかし、LucidRookによって取得された復号可能なLuaバイトコードをキャプチャできなかったため、感染後に実行された特定のアクションは不明である。
